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防火 墙 实 现 原 理 与 应 用 部 署 研 究 


摘 要 : 防火 墙 技 术 是 网 络 安 全 防护 中 的 重要 一 环 ， 本 文 对 目前 网 络 安全 领域 主流 的 防火 墙 技 术 实现 原理 和 部 署 方式 进行 了 
分 析 对 比 ， 对 应 该 关注 的 防火 墙 指 标 进行 了 梳理 ， 并 提出 了 考量 标准 的 建议 ， 对 下 一 代 防 火 墙 的 发 展 趋势 进行 了 研究 ， 可 在 


网 络 安全 防护 体系 建设 中 用 作 参 考 。 
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防火 墙 是 建设 网 络 应 用 过 程 中 不 可 缺少 的 一 环 ， 不 
管 是 面向 互联 网 的 网 络 架构 还 是 处 于 网 络 纵深 内 部 的 网 
络 架 构 ， 都 需要 使 用 防火 墙 技术 对 网 络 的 不 同 区 域 之 间 
的 通信 进行 安全 控制 。 防 火 墙 的 作用 是 隔离 外 部 网 络 的 
安全 威胁 ， 同 时 隔离 通过 内 部 网 络 向 外 部 网 络 泄露 敏感 
数据 ， 保 护 网 络 资产 不 受 侵害 。 

防火 墙 技 术 在 20 世纪 80 年 代 就 已 出 现 钻 ， 随 着 网 
络 安全 技术 的 不 断 发 展 ， 防 火 墙 技 术 也 在 不 断 演变 和 完 
善 。 在 网 络 建设 时 对 网 络 安全 防护 同步 进行 安全 设计 和 
规划 ， 实 现 对 网 络 进行 全 面 、 科 学 的 防护 ， 需 要 对 网 络 
安全 防护 中 最 重要 的 防火 墙 进行 深入 的 理解 。 

1. 防火 墙 工 作 原理 

防火 墙 最 主要 的 功能 是 实现 与 外 部 网 络 逻 辑 隔 离 ， 
阻止 外 部 网 络 的 攻击 者 入 侵 到 内 部 网 络 ， 实 现 “ 不 该 来 
的 不 要 来 ”; 同时 保护 内 部 敏感 信息 资源 , 防止 内 部 泄密 ， 
实现 “无 授权 的 不 要 访问 ”。 
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1 防火墙 对 来 往 数 据 流量 进行 过 滤 


图 1 所 示 是 一 个 连接 互联 网 的 信息 系统 的 典型 网 络 
拓扑 ， 系 统 内 部 划分 为 承载 着 服务 的 DMZ 区 和 用 户 区 ， 
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防火 墙 部 署 在 网 络 的 出 入 口 处 ， 通 过 对 来 往 的 数据 包 进 
行 特征 判断 ， 对 符合 安全 策略 的 数据 包 进 行 放行 ， 对 不 
符合 安全 策略 的 数据 包 进 行 丢弃 。 所 以 ， 一 般 也 可 以 把 
防火 墙 称 为 “安全 网 关 ” 
1. 1ACL 规则 

通过 为 防火 墙 配 置 访 问 控制 列表 ACL (Access 
Control List ) 来 建立 对 来 往 数 据 包 进行 判断 的 规则 ， 防 火 
墙 在 对 数据 包 进 行 判断 时 要 通过 查询 这 些 规则 对 数据 包 
进行 控制 。 图 2 所 示 为 防火 墙 使 用 访问 控制 策略 对 数据 
包 进 行 控制 的 工作 原理 。 
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2 访问 控制 策略 工作 原理 


一 个 标准 卫 访问 控制 列表 的 语法 为 : 
access—list [list number] [permit | deny] [source-address] 
[wildcard-mask] [log] 
如 下 是 通过 标准 IP 访问 控制 列表 来 配置 的 防火 墙 策 
略 : 
access—list ] deny 172.16.4.13 0.0.0.0 
access—list 2 permit 172.16.0.0 0.0.255.255 
access—list 3 permit 0.0.0.0 255.255.255.255 
第 一 条 ACL 表示 阻止 172.16.4.13 这 台 主 机 的 所 有 流 
通过 ; 第 二 条 ACL 表示 允许 172.16 网 段 的 所 有 数据 流 


在 系统 网 络 出 口 处 部 署 防火 增 与 外 部 互联 网 连接 。 防 火 
墙 在 1 号 数据 流量 路 径 上 阻止 “自己 不 喜欢 ”的 外 部 人 
访问 ; 在 2 号 数据 流量 路 径 上 阻止 内 部 人 访问 “不 应 该 去 ” 
的 地 方 。 防 火 墙 不 关心 访问 的 具体 内 容 ， 实 现 方式 是 把 
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通过 ; 第 三 条 ACL 表示 人 允许 任何 地 址 的 数据 流量 通过 。 
标准 人 P 访问 控制 列表 的 定义 决定 了 这 种 方式 的 策 咯 
只 能 控制 源 地 址 ， 无 法 控制 数据 流量 的 目的 ， 也 无 法 控 
制 流量 的 协议 。 为 了 实现 更 加 灵活 和 功能 强大 的 控制 方 
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法 ， 所 以 出 现 了 扩展 卫 访问 控制 列表 。 

扩展 他 访问 控制 列表 的 语法 为 : 

access-list [list number] [permit | deny] [protocol] 
[source~address| [source-mask] [source-port] [destination— 
address] [destination-mask] [destination-port] [log| [option] 

如 下 是 通过 扩展 IP 访问 控制 列表 来 配置 的 防火 墙 
略 : 

access-list 150 permit tcp any host 192.168.50.10 ed 


smtp 

access—list 151 permit tcp any host 192.168.50.20 ed 

第 一 条 ACL 表示 允许 TCP 协议 的 数据 包 、 任 何 源 地 
址 、 目的 是 192.168.50.10、 协议 是 SMTP 的 数据 流量 通过 ; 
第 二 条 ACL 表示 人 允许 TCP 协议 的 数据 包 、 任 何 源 地 址 、 
目的 是 192.168.50.20、 协 议 是 WWW 的 数据 流量 通过 。 
由 此 可 见 ， 访 问 控制 列表 实现 的 功能 就 是 允许 谁 到 什么 
地 方 访问 什么 服务 。 
1. 2ACL 规则 的 匹配 原则 

在 实际 应 用 中 ， 一 个 完整 的 信息 系统 会 提供 多 种 服 
务 ,， 进 出 的 数据 流量 多 种 多 样 ， 因 此 ， 在 防火 墙 上 会 配 
置 多 条 ACL。 防 火 墙 具 备 对 ACL 规则 的 匹配 机 制 来 实现 
进出 流量 的 匹配 ， 这 种 机 制 可 概括 如 下 。 

防火 墙 安全 规则 遵循 从 上 到 下 匹配 的 原则 ,一 旦 有 
一 条 匹配 ， 则 对 数据 包 按照 该 条 规则 进行 处 理 ， 剩 余 的 
ACL 不 再 进行 匹配 。 因 此 ，ACL 的 顺序 非常 重要 。 

如 果 所 有 的 规则 都 没有 匹配 到 ， 数 据 包 将 被 丢弃 。 

安全 过 滤 规 则 主要 包含 源 、 目 的 地 址 和 端口 、TCP 
标志 位 、 应 用 时 间 以 及 一 些 高 级 过 滤 选 项 。 
1. 3 防火 墙 工作 方式 
1.3.1 包 过 滤 方 式 
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先 检测 该 数据 包 是 否 匹配 已 经 配置 好 的 状态 检测 列表 ， 
如 果 匹 配 则 转发 放行 ;如果 不 匹配 则 按照 包 过 滤 方 式 安 
全 检测 ， 匹 配 则 转发 放行 ， 不 匹配 则 丢弃 该 数据 包 。 状 
态 检测 方式 是 对 包 过 渡 方 式 的 功能 扩展 ， 既 能 对 数据 包 
是 否 符 合 安全 策略 进行 检查 ,也 能 对 包 的 状态 进行 检测 ， 
能 够 实现 对 基于 破坏 数据 包 状 态 进 行 攻击 ( 如 DoS ) 的 
防护 。 


救 据 包 进入 防火 墙 


读 孝 握 : 
忆 合 在 状态 舌 闻 度数 据 包 


教 据 包 被 防火 墙 转 发 


3 状态 检测 防火 墙 工作 原理 


状态 检测 防火 墙 实现 对 每 一 个 数据 包 进 行 状态 检测 ， 
需要 针对 进入 防火 墙 的 数据 包 开 启 缓冲 区 。 当 通过 防火 
墙 的 数据 包 数 量 增多 时 ， 会 大 量 占用 防火 墙 硬 件 资源 ， 
降低 数据 通过 性 能 ， 有 影响 业务 正常 运行 的 可 能 。 
1.3.3 应 用 代理 方式 

在 防火 墙 上 开启 若干 应 用 代理 ， 每 个 代理 需要 一 个 
不 同 的 应 用 进程 或 一 个 后 台 运 行 的 服务 程序 ， 针 对 每 个 
新 的 应 用 必须 添加 针对 此 应 用 的 服务 程序 ， 否 则 不 能 使 
用 该 服务 ， 即 不 代理 的 业务 无 法 通过 。 应 用 代理 防火 墙 
的 特点 是 把 用 户 的 请 求 数据 包 统 一 收集 起 来 ， 还 原 成 应 
用 级 的 请 求 ， 对 应 用 级 请 求 按 规 则 进行 处 理 后 再 转发 给 
服务 器 ， 用 户 向 服务 器 的 请 求 是 中 断 的 。 应 用 代理 防火 


包 过 滤 ( Packet Filtering ) 方式 中 是 防火 墙 最 早 支 持 
的 一 种 方式 。 防火 墙 部 署 在 数据 流量 必须 经 过 的 链 路 上 ， 
对 经 过 的 每 一 个 数据 包 逐 条 匹配 ACL， 直 到 适合 某 条 规 
则 执行 规则 设 定 的 动作 。 

不 设置 内 容 缓冲 区 ， 不 关心 传输 的 内 容 。 优 点 是 简 
单 易 行 ， 处 理 速 度 快 ;缺点 是 单 包 处 理 ， 只 检查 包头 ， 
不 建立 前 后 数据 包 的 逻辑 关系 ， 不 能 发 现 通 信 中 搬入 或 
缺漏 的 数据 包 ， 也 不 能 发 现 假冒 的 数据 包 。 如 TCP 通信 
三 次 握手 ， 包 过 滤 方 式 防火 墙 不 去 检查 发 送 的 数据 包 顺 
序 是 否 合法 ， 因 此 容易 受到 DoS 攻击 。 

1.3.2 状态 检测 方式 

为 了 弥补 包 过 滤 防 火 墙 天 生存 在 的 弱点 ， 后 来 出 现 
了 状态 检测 方式 的 防火 墙 ， 依 据 TCP 标准 的 协议 规则 
对 数据 包 进行 协议 检测 。 状 态 检测 防火 墙 基于 数据 包 检 
测 ， 同 时 针对 每 个 数据 连接 建立 协议 运行 的 状态 跟踪 ， 
发 现状 态 不 匹配 时 则 丢弃 该 数据 包 。 图 3 所 示 为 状态 检 
测 防 火 墙 工作 原理 。 当 数据 包 进 入 防火 增 后 ， 防 火 墙 首 


墙 的 优点 是 成 为 用 户 访 问 业 务 的 中 间 代 理 人 ， 中 断 用 户 
与 服务 器 的 直接 连接 ， 可 以 避免 对 服务 器 的 直接 入 侵 ; 
缺点 是 需要 与 包 过 滤 、 状 态 过 滤 技 术 一 起 使 用 ， 而 且 组 
冲 时 间 长 、 速 度 慢 、 延 迟 大 。 
2. 防火 墙 部 署 方式 

防火 墙 是 为 加 强 网 络 安全 防护 能 力 在 网 络 中 部 署 的 
硬件 设备 ， 有 多 种 部 署 方式 ， 常 见 的 有 桥 模式 、 网 管 模 
式 和 NAT 模式 等 。 
2. 1 桥 模式 

桥 模 式 也 可 叫 作 透明 模式 。 最 简单 的 网 络 由 客户 端 
和 服务 器 组 成 ， 客 户 端 和 服务 器 处 于 同一 网 段 。 为 了 安 
全 方面 的 考虑 ， 在 客户 端 和 服务 器 之 间 增 加 了 防火 墙 设 
备 ， 对 经 过 的 流量 进行 安全 控制 。 正 常 的 客户 端 请 求 通 
过 防火 墙 送 达 服务 器 ， 服 务 器 将 响应 返回 给 客户 端 ， 用 
户 不 会 感觉 到 中 间 设 备 的 存在 。 工 作 在 桥 模 式 下 的 防火 
墙 没 有 了 IP 地址 ， 当 对 网 络 进行 扩容 时 无 需 对 网 络 地 址 进 
行 重新 规划 ， 但 牺牲 了 路 由 、VPN 等 功能 。 
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2. 2 网 关 模 式 

网 关 模 式 适 用 于 内 外 网 不 在 同一 网 段 的 情况 ， 防 火 
墙 设置 网 关 地 址 实现 路 由 带 的 功能 ， 为 不 同 网 段 进 行路 
由 转发 。 网 关 模 式 相 比 桥 模 式 具备 更 高 的 安全 性 ， 在 进 
行 访问 控制 的 同时 实现 了 安全 隔离 ， 具备 了 一 定 的 私密 
性 。 

2. 3 NAT 模式 

NAT ( Network Address Translation ) 地 址 翻译 技术 由 
防火 墙 对 内 部 网 络 的 卫 地 址 进行 地 址 翻译 ， 使 用 防火 墙 
的 卫 地 址 替换 内 部 网 络 的 源 地 址 向 外 部 网 络 发 送 数据 ; 
当 外 部 网 络 的 响应 数据 流量 返回 到 防火 墙 后 ， 防 火 墙 再 
将 目的 地 址 蔡 换 为 内 部 网 络 的 源 地 址 。NAT 模式 能 够 实 
现 外 部 网 络 不 能 直接 看 到 内 部 网 络 的 IP 地址， 进一步 增 
强 了 对 内 部 网 络 的 安全 防护 ,同时 ,在 NAT 模 式 的 网 络 中 ， 
内 部 网 络 可 以 使 用 私 网 地 址 ， 可 以 解决 IP 地 址 数量 受 限 
的 问题 。 

如 果 在 NAT 模式 的 基础 上 需要 实现 外 部 网 络 访问 内 
部 网 络 服务 的 需求 时 , 还 可 以 使 用 地 址 /端口 映射 ( MAP ) 
技术 ， 在 防火 墙 上 进行 地 址 / 端口 映射 配置 ， 当 外 部 网 络 
用 户 需 要 访问 内 部 服务 时 ， 防 火 墙 将 请 求 映射 到 内 部 服 
务 带 上 ; 当 内 部 服务 顺 返 回 相 应 数据 时 ， 防 火 墙 再 将 数 
据 转 发 给 外 部 网 络 。 使 用 地 址 / 端口 映射 技术 实现 了 外 部 
用 户 能 够 访问 内 部 服务 ， 但 是 外 部 用 户 无 法 看 到 内 部 服 
务 器 的 真实 地 址 ， 只 能 看 到 防火 墙 的 地 址 ， 增 强 了 内 部 
服务 顺 的 安全 性 。 

2.4 高 可 靠 性 设计 

防火 墙 都 部 署 在 网 络 的 出 入 口 , 是 网 络 通信 的 大 门 ， 
这 就 要 求 防火 墙 的 部 署 必须 具备 高 可 靠 性 。 一 般 开 设备 
的 使 用 寿命 被 设计 为 3 至 5 年 ， 当 单 点 设备 发 生 故 障 时 ， 
要 通过 宛 余 技 术 实 现 可 靠 性 ， 可 以 通过 如 虚拟 路 由 宛 余 
协议 (VRRP ) 等 技术 实现 主 备 元 余 。 目 前 ， 主 流 的 网 络 
设备 都 支持 高 可 靠 性 设计 ， 如 图 4 所 示 就 是 一 个 典型 的 
骨干 网 络 出 口 处 的 高 可 靠 性 网 络 架构 设计 。 

3. 防护 体系 设计 

对 于 网 络 安 全 防护 来 讲 ， 防 火 墙 不 是 万 能 的 。 防 火 
墙 只 对 数据 通信 的 五 元 组 进行 检测 ， 不 会 检查 数据 包 的 
内 容 。 而 攻击 者 往往 会 利用 各 种 隐藏 掩饰 技术 将 恶意 代 
但 放置 到 合法 的 数据 包 中 ， 发 送 到 服务 器 以 达到 对 服务 
器 进行 攻击 的 目的 ， 如 通过 把 恶意 代码 放 到 邮件 的 附件 
中 发 送 给 目标 ， 这 是 传统 防火 墙 解决 不 了 的 问题 。 

随 着 网 络 应 用 的 愈 发 广泛 ， 用 户 硕 望 得 到 的 防护 不 
仅仅 限于 对 访问 控制 策略 的 实现 ,还 需要 对 病毒 、 蠕 虫 、 
木马 等 恶意 代码 进行 防护 。 而 基于 传统 的 五 元 组 技术 的 
防火 墙 对 于 以 业务 复 用 方式 进行 的 网 络 攻击 无 能 为 力 。 

现代 安全 防护 体系 提出 了 下 一 代 防 火 墙 的 概念 。 下 
一 代 防 火 墙 具备 标准 的 防火 墙 功能 ， 如 网 络 地 址 转换 、 
状态 检测 、VPN 等 功能 ; 具备 入 侵 检测 功能 ;具备 应 用 
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程序 感知 能 力 ， 自 动 识别 和 控制 应 用 程序 ， 甚 至 完成 基 
于 用 户 的 数据 流量 控制 功能 。 所 以 ,现代 的 安全 防护 应 
该 由 传统 的 对 于 五 元 组 的 控制 转变 为 以 用 户 身份 定义 安 
全 策略 、 识 别 内 容 与 业务 应 用 的 方式 ， 能 够 基于 MAC 地 
址 、 数 据 流 方向 、 用 户 身份 、 内 容 关 键 字 等 因素 对 流量 
进行 控制 ， 这 要 求 防火 墙 不 仅 在 网 络 层 进行 检测 ， 还 应 
在 应 用 层 进行 检测 。 最 完整 的 下 一 代 防 火 墙 技术 应 包含 
传统 防火 墙 功能 、IPS 功能 、 恶 意 代码 检测 功能 ， 甚 至 扩 
展 到 VPN、URL 过 滤 、 应 用 流量 控制 、WAF、 链 路 负载 
均衡 等 功能 。 
4. 防火 墙 性 能 考量 
4.1 防火 墙 性 能 指标 

防火 墙 无 论 采 用 什么 方式 对 数据 进行 过 滤 ， 都 是 以 
防火 墙 的 硬件 资源 作为 支撑 ， 防 火 墙 的 性 能 直接 影响 用 
户 的 体验 甚至 系统 安全 。 防 火 墙 最 重要 的 性 能 指标 包括 
吞吐 量 、 时 延 、 技 包 率 、 并 发 连接 数 、 新 建 连接 数 等 。 

吞吐 量 指 防火 墙 的 数据 通过 能 力 ， 根 据 以 太 网 中 数 
据 包 的 封装 规则 ， 以 千 兆 防火 墙 举例 知 吐 量 应 为 : 

64/ ( 64+8+12 ) *1000Mbps*1.024 ~ 780.2Mbps 

不 论 防 火 墙 工作 在 哪 种 工作 方式 下 ， 防 火 墙 都 要 对 
通过 的 数据 进行 处 理 , 比 数据 在 光纤 中 通过 的 速度 要 慢 。 
互联 网 有 大 量 的 网 络 设备 ， 数 据 从 源 到 目的 经 过 的 时 延 
是 通过 的 所 有 设备 的 时 延 的 和 。 一 般 防火 墙 的 时 延 应 控 
制 在 毫秒 级 别 。 
防火 墙 在 处 理 通 过 的 数据 包 时 ， 可 能 会 因为 错误 或 
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者 延迟 等 原因 丢失 了 部 分 数据 包 。 这 里 丢失 的 数据 包 不 
包括 因 不 符合 ACL 策略 而 被 丢弃 的 数据 包 ， 除 此 之 外 ， 
有 丢失 数据 包 的 情况 应 判定 防火 墙 存在 问题 。 

当 通 过 防火 墙 的 数据 出 现 大 量 的 并 发 连接 和 新 建 连 
接 时 ， 防 火 墙 需要 跟踪 这 些 连 接 的 状态 ， 防 火 墙 的 CPU 
等 便 件 资源 是 否 足 以 支撑 这 些 连 接 带 来 的 资源 消耗 ， 用 
连接 数 的 形式 进行 判断 。 

4. 2 虚拟 化 和 策略 硬件 化 

从 防火 墙 的 工作 原理 来 看 ， 对 防火 墙 的 硬件 要 求 比 
较 高 。 随 着 网 络 的 升级 ， 目 前 千 兆 、 万 兆 甚至 100G 交换 
机 都 应 用 于 网 络 。 在 这 些 高 咎 吐 的 网 络 中 对 防火 墙 的 性 
能 提出 了 更 高 的 要 求 ， 需 要 提升 防火 墙 本 身 采 用 硬件 的 
性 能 。 同 时 ,防火墙 也 有 一 些 架构 上 的 设计 来 应 对 高 否 
吐 量 网 络 应 用 。 

虚拟 化 钻 指 防火 墙 设计 成 具备 多 组 端口 ， 通 过 软件 
配置 实现 一 台 人 硬件 防火 墙 可 以 虚拟 成 多 个 虚拟 防火 墙 使 
用 ,具备 多 个 防火 墙 的 处 理 能 力 。 虚 拟 化 还 是 使 用 CPU 
执行 算法 对 数据 流量 进行 过 滤 ， 处 理 速 度 依然 受 限于 
CPU 的 人 处理 能 力 。 

策略 硬件 化 指 不 再 使 用 CPU 通过 算法 去 处 理 每 一 次 
ACL 匹配 ， 而 是 把 每 一 条 策略 封装 成 如 FPGA 芯片 的 方 
式 对 数据 包 进 行 处 理 。 当 有 大 量 的 数据 包 通 过 时 ， 使 用 
多 个 FPGA 芯片 组 成 的 硬件 规则 表 对 数据 包 进 行 过滤 ， 
能 够 大 幅度 提升 数据 处 理 的 速度 。 


ChinaXiv 合 作 期 刊 


结语 

在 构建 网 络 安全 防护 体系 的 过 程 中 ， 用 户 需 要 针对 
网 络 架构 和 业务 需求 选择 适合 的 防火 墙 工作 模式 和 部 署 
方式 ， 应 该 选用 具备 自身 安全 需求 的 防火 墙 功能 ， 并 对 
防火 墙 的 硬件 性 能 进行 考量 , 使 防火 墙 为 网 络 提供 高 效 、 
准确 的 防护 服务 。 

防火 墙 技 术 在 网 络 安全 领域 既是 出 现 最 早 的 技术 ， 
也 是 应 用 最 广泛 的 技术 。 随 着 对 网 络 安全 的 需求 不 断 增 
大 , 防火 墙 技术 在 不 断 进步 ,防火 墙 处 理 能 力 的 高 速 化 、 
检测 能 力 智能 化 、 部 署 方式 多 样 化 都 是 防火 墙 应 对 网 络 
安全 需求 的 改进 方式 。 在 未 来 ， 防 火 墙 仍 然 是 网 络 安全 
应 用 最 重要 的 设备 之 一 。 图 
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久 弥 新 地 被 反复 送 上 热门 一 一 正 是 在 这 样 一 种 意义 运作 
中 ， 与 外 在 生产 、 消 费 的 现实 情境 形成 默契 的 错位 互动 
而 构建 神话 。 

同样 ， 另 外 一 类 以 百 家 讲 坛 式 的 “业界 专家 ”姿态 
兜售 各 种 各 类 “成 功 经 验 ” (投资 理财 、 创 业经 商 、 应 聘 
礼仪 、 情 感 生活 、 职 场 技能 ) 的 热门 短视 频 ， 不 过 是 在 不 
断 翻 新 地 对 “胜利 者 话语 ”( 以 马云 、 俞 敏 洪 、 马 东 、 李 
诞 等 这 些 知 名 既得 利益 群体 为 代表 ) 加 以 打包 ， 面 向 那些 
无 法 认 清 现 况 、 不 切实 际 渴望 暴 富 或 成 名 的 庸俗 属 丝 进行 
二 手 贩 卖 。 然 而 ， 这 种 兜售 实际 所 能 满足 的 不 过 是 这 些 布 
衣 阶 层 一 时 的 意 淫 和 过 将 ， 因 为 成 功 是 无 法 复制 的 。 这 些 
充斥 于 耳 的 “胜利 者 话语 ”必然 遮蔽 和 掩藏 了 既得 利益 群 
体 在 抽取 成 功 过 程 背后 那些 “不 可 为 人 知 ” 的 捷径 和 巧合 ， 
他 们 不 过 是 幸运 儿 或 者 是 幸运 儿 中 的 幸运 儿 。 因 此 ， 对 于 
并 不 先 在 占有 物质 或 文化 资源 优势 的 普通 人 而 言 ， 成 功 是 
没有 捷径 的 ; 所 谓 “ 成 功 经 验 ” 非 但 不 是 捷径 桥梁 ， 反 而 
会 诱拐 那些 真正 有 志向 且 有 能 力 、 原 本 有 可 能 书写 自己 专 
属 成 功 故 事 的 人 ， 最 终 沦 落 为 一 个 庸 碌 的 仿效 失败 者 。 唱 
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